Microlab Hard S.L.

La Agencia Española de Protección de Datos (AEPD) ha impuesto a una empresa del sector energético una sanción de 12.000 euros por realizar llamadas de telemarketing sin contar con el consentimiento del destinatario. Aunque se trata de un caso concreto, su contenido resulta especialmente ilustrativo sobre cómo deben interpretarse las bases jurídicas del tratamiento en el ámbito de la comunicación comercial y sobre las obligaciones que tienen las empresas al contactar con potenciales clientes.

Lo cierto es que este caso refleja una de las infracciones más frecuentes en materia de protección de datos en España: las llamadas o correos promocionales realizados sin una base legal válida y, especialmente, sin respetar la voluntad del interesado de no ser contactado.

Una llamada no deseada

El procedimiento se inicia a raíz de la reclamación presentada por un ciudadano que había recibido llamadas comerciales de una empresa sin haber dado su consentimiento y, además, estando inscrito en la Lista Robinson, sistema oficial de exclusión publicitaria.

El reclamante alegó que nunca había autorizado el uso de sus datos para fines publicitarios y que su inclusión en la Lista Robinson evidenciaba su oposición expresa a recibir comunicaciones de ese tipo.

La empresa, por su parte, defendió que actuaba en el marco de una supuesta relación contractual previa y que las llamadas estaban amparadas por el interés legítimo de mantener informados a sus clientes. Sin embargo, no pudo aportar prueba alguna de la existencia de dicha relación ni del consentimiento válido del afectado.

La licitud del tratamiento como fundamento jurídico

El art. 6 del Reglamento General de Protección de Datos (RGPD) establece que el tratamiento de datos personales sólo es lícito si se cumple al menos una de las bases jurídicas que contempla el citado Reglamento. En el caso de las comunicaciones comerciales, las bases legales aplicables son:

• El consentimiento previo, libre, informado e inequívoco del interesado.
• La existencia de una relación contractual previa que permita ofrecer productos o servicios similares, en base a lo dispuesto en el art. 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

La AEPD concluyó que la empresa no había acreditado ninguna de estas circunstancias. Por tanto, el tratamiento era ilícito desde su origen.

Además, el art 21 del RGPD reconoce el derecho de oposición del interesado al tratamiento de sus datos con fines de marketing directo. En este caso, la inscripción del reclamante en la Lista Robinson era una manifestación clara y verificable de ese derecho. Ignorar dicha exclusión constituye una vulneración directa de la normativa.

La sanción: 12.000 euros por una infracción evitable

Tras valorar los hechos, la AEPD consideró acreditada la infracción del art. 6.1 RGPD (licitud del tratamiento) y, de forma accesoria, del artículo 21 RGPD (derecho de oposición).

La multa impuesta fue de 12.000 euros, una cuantía que, aunque moderada, busca enviar un mensaje disuasorio: la falta de diligencia en el control de campañas de marketing y la ausencia de mecanismos efectivos para respetar la oposición de los ciudadanos son infracciones graves.

La resolución subraya además que la responsabilidad recae directamente en la empresa que realiza la llamada, aunque haya externalizado la campaña a terceros. El responsable del tratamiento debe verificar que todos los procesos cumplen el RGPD y debe disponer de registros, pruebas de consentimiento y protocolos de exclusión actualizados. En caso de que encargue algún tratamiento a un tercero, el responsable debe, además, certificar que el encargado aporta garantías suficientes para el cumplimiento de la normativa.

El cumplimiento como estrategia empresarial

De esta resolución se extraen varias lecciones de aplicación práctica:

• Consentimiento verificable. No basta con alegar que el usuario dio su consentimiento: debe poder demostrarse documentalmente. Los formularios de alta, las grabaciones de voz o los registros de aceptación deben conservarse como prueba.
• Respeto a las listas de exclusión. Antes de iniciar cualquier campaña, es obligatorio cruzar la base de datos de contactos con la Lista Robinson. Este control debe repetirse periódicamente.
• Responsabilidad proactiva. El RGPD exige demostrar el cumplimiento (“accountability”). Por ello, deben implantarse políticas internas, registros de actividades, evaluaciones de impacto y formación continua en materia de protección de datos.
• Supervisión de proveedores. Si se externalizan campañas de marketing, la empresa contratante debe firmar un contrato de encargado del tratamiento conforme al art. 28 del RGPD y verificar las garantías de cumplimiento del proveedor.

Cumplir con el RGPD (y las normas que regulan las comunicaciones comerciales por vía telefónica y electrónica) no implica renunciar a la actividad comercial, sino integrarla en un marco de transparencia y respeto con los derechos de las personas. Por ello, desde MICROLAB ayudamos a nuestros clientes a adoptar políticas preventivas y de disminución del riesgo, que evitan sanciones y fortalecen su imagen ante clientes y socios.

Recientemente hemos conocido que la multinacional Endesa ha sufrido un incidente de seguridad que ha afectado a datos personales de sus clientes. Un hacker habría accedido a información identificativa, lo que vuelve a poner en primer plano una realidad incómoda: cualquier empresa puede sufrir una brecha de seguridad, sin importar su tamaño o sector.

Más allá del impacto mediático, el caso Endesa es especialmente relevante. Muestra qué es una brecha de seguridad según el RGPD, cómo debe reaccionar una organización y qué riesgos existen al tratar datos personales sensibles, como DNIs o datos bancarios.

¿Qué es una brecha de seguridad según el RGPD?

Definición legal según el artículo 4.12 del RGPD

El artículo 4.12 del Reglamento General de Protección de Datos (RGPD) define una brecha de seguridad como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.

Para entender mejor este concepto, la Guía de gestión y notificación de brechas de seguridad de la AEPD explica cómo evaluar los riesgos y cuándo es obligatorio notificar un incidente.

Por qué el caso Endesa es jurídicamente relevante

Endesa reconoce un acceso no autorizado que habría afectado a datos identificativos de sus clientes, datos contractuales y bancarios. Este tipo de información aumenta notablemente el riesgo de suplantación de identidad, fraudes o ataques de phishing, aunque no se hayan comprometido contraseñas.

Cómo reaccionó Endesa ante la brecha

Los clientes de Endesa conocieron los hechos a través de un comunicado oficial de la compañía. Este procedimiento responde a varios aspectos exigidos por el RGPD:

• Detección del incidente y activación de protocolos de seguridad.
• Medidas de contención y mitigación, como bloqueo de accesos y análisis de logs.
• Notificación a la Agencia Española de Protección de Datos (AEPD).
• Comunicación a los afectados, cumpliendo el artículo 34 del RGPD.

Las notificaciones deben realizarse a través del canal oficial de la AEPD para brechas de seguridad. Además, es recomendable consultar las resoluciones sancionadoras publicadas por la AEPD para conocer los criterios aplicados en casos similares.

Qué debe hacer una pyme si sufre una brecha de seguridad

El RGPD no solo afecta a grandes corporaciones. Cualquier empresa, organización o profesional que trate datos personales está sujeta a la normativa. Por eso, las pymes deben actuar con la misma diligencia ante un incidente.

Pasos iniciales: identificar, contener y analizar el incidente

En primer lugar, hay que identificar la brecha y contenerla. Es fundamental cerrar accesos, aislar los sistemas afectados y evitar que la vulnerabilidad continúe activa.

Después, se debe analizar el alcance del incidente. Conviene determinar qué datos se han visto afectados, cuántas personas han sido impactadas y qué medidas de seguridad existían previamente (como el cifrado de la información). Para orientar este proceso, puede consultarse la Guía de brechas de seguridad de la AEPD.

Notificar a la AEPD y comunicar a los afectados

El RGPD obliga a documentar internamente todas las brechas, incluso si no es necesario notificarlas. Cuando existe riesgo para los derechos de las personas, se debe informar a la AEPD en un máximo de 72 horas desde que se detecta el incidente. Esta notificación se realiza a través de la sede electrónica de la AEPD.

Si el análisis muestra un riesgo alto para los afectados, también es obligatorio comunicarles el incidente de forma clara y transparente. De este modo podrán protegerse ante posibles ataques de phishing o suplantaciones de identidad.

Cómo reducir el riesgo de sufrir una brecha de seguridad

Ni siquiera las grandes corporaciones están totalmente a salvo, pero existen medidas que reducen el impacto legal y económico de una brecha. Algunas de las más efectivas son:

• Realizar análisis de riesgos sobre los tratamientos de datos.
• Aplicar medidas técnicas adecuadas, como control de accesos, doble factor, cifrado y registros de actividad. El CCN-CERT ofrece guías y buenas prácticas en esta materia.
• Adoptar medidas organizativas: protocolos internos, políticas claras y formación del personal. El INCIBE proporciona recursos gratuitos para empresas y autónomos.
• Contar con planes de respuesta a incidentes para actuar con rapidez y sin improvisaciones.

Los ciberataques han crecido en número y sofisticación durante la última década. Esto supone un riesgo real y constante para empresas, profesionales y administraciones públicas.

Asesoramiento jurídico: clave para evitar sanciones

Muchas sanciones de la AEPD no se deben a la brecha en sí, sino a su gestión incorrecta. Notificar tarde, comunicar mal o no documentar el incidente son errores frecuentes. Contar con asesoramiento jurídico especializado puede marcar la diferencia entre un problema controlado y una crisis legal.

Desde Microlab acompañamos a empresas y profesionales en la implantación de medidas preventivas y planes de respuesta eficaces. Nuestra meta es garantizar una actuación transparente que refuerce la confianza de clientes y socios.

El marketing digital se sustenta en la recopilación y análisis de datos para entender a los usuarios, personalizar campañas y mejorar el rendimiento de las estrategias. Sin embargo, con el Reglamento General de Protección de Datos (RGPD) las empresas deben replantear cómo obtienen, gestionan y utilizan esta información. La normativa no limita el marketing digital, pero sí exige transparencia, control y responsabilidad en el tratamiento de los datos personales.

En Microlab Hard analizamos cómo la protección de datos condiciona el marketing digital actual, qué obligaciones legales deben cumplir las empresas y cómo adaptar las estrategias para seguir siendo eficaces sin incumplir la normativa.

¿Por qué el RGPD ha cambiado el marketing digital?

El RGPD introdujo un cambio profundo en la forma en que las empresas recogen y utilizan datos. Muchas prácticas habituales —como el uso intensivo de cookies, la publicidad basada en el comportamiento o la segmentación avanzada— siguen siendo posibles, pero ahora requieren bases legales claras y un marco de transparencia más estricto.

Comprender este impacto es esencial para adaptar las acciones de marketing sin poner en riesgo a la empresa ni la privacidad de los usuarios.

Principales obligaciones del marketing digital según el RGPD

El cumplimiento del RGPD en marketing digital implica seguir una serie de obligaciones relacionadas con la obtención de datos, el consentimiento, la información al usuario y la gestión de proveedores. A continuación, se detallan los aspectos más relevantes.

1. Consentimiento válido para comunicaciones comerciales 

Para enviar newsletters, promociones o campañas automatizadas, el consentimiento del usuario debe ser explícito, verificable y otorgado de manera libre. Los formularios deben indicar claramente qué datos se recogen y con qué finalidad.

Únicamente se puede prescindir de este consentimiento en un supuesto: el destinatario de las comunicaciones es un cliente de la organización que ha contratado previamente bienes o servicios similares a los que se promocionan.

2. Transparencia en formularios, landing pages y lead magnets 

Cada punto de recogida de datos debe incluir una cláusula de privacidad completa, adaptada al RGPD. Esto aplica a formularios de contacto, registros, descargas, eventos y cualquier captación de leads.

3. Uso legal de cookies y seguimiento de usuarios 

Las cookies de análisis, publicidad o seguimiento requieren consentimiento previo. El usuario debe poder aceptarlas, rechazarlas o configurarlas antes de que se activen. Esta normativa afecta a herramientas como Google Analytics, Meta Pixel o Hotjar.

4. Segmentación y perfilado con bases legales claras 

El perfilado avanzado exige una base legal válida, que en la mayoría de los casos es el consentimiento. Personalizar comunicaciones basándose en el comportamiento del usuario solo es legal si este ha aceptado expresamente esa finalidad.

5. Contratos con proveedores de marketing 

Todas las herramientas que traten datos personales (CRM, email marketing, analítica, alojamiento web, automatización, etc.) requieren un Contrato de Encargado de Tratamiento. La empresa es responsable de garantizar que sus proveedores cumplen la normativa.

6. Seguridad en el tratamiento de datos

El RGPD exige implementar medidas técnicas y organizativas para proteger la información. Esto incluye contraseñas seguras, copias de seguridad, control de accesos y protocolos frente a brechas de seguridad.

¿Cómo repercute todo esto en la estrategia de marketing?

Los requisitos de protección de datos no frenan el marketing digital, pero sí obligan a transformarlo. Estos cambios influyen en la analítica web, los modelos de segmentación y la captación de leads. Conocer estas implicaciones permite diseñar estrategias más eficaces y sostenibles.

Menos datos disponibles, pero mayor calidad

El consentimiento explícito (o la relación contractual previa, en su caso) reduce la cantidad de información disponible, pero mejora la calidad de los leads y del análisis.

Nuevas herramientas respetuosas con la privacidad

Las plataformas de analítica y medición evolucionan hacia modelos que no dependen de cookies de terceros, fomentando el uso de datos propios.

Publicidad más ética y transparente 

La publicidad contextual y basada en contenidos gana terreno frente a la publicidad hipersegmentada basada en seguimiento intensivo.

Mayor confianza del usuario

Las empresas que actúan con transparencia refuerzan su imagen, mejoran la confianza del usuario y aumentan la efectividad de las campañas.

Riesgos de no cumplir la normativa 

No cumplir el RGPD en marketing digital puede acarrear sanciones económicas considerables, pérdida de reputación, bloqueo de campañas o eliminación de bases de datos. Además, plataformas como Google o Meta están endureciendo sus requisitos internos, por lo que ignorar la normativa puede afectar al rendimiento y la continuidad de las campañas.

¿Cómo cumplir el RGPD sin frenar tus estrategias de marketing? 

Cumplir el RGPD es totalmente compatible con un marketing digital eficaz. La clave está en adoptar buenas prácticas como el uso de formularios transparentes, el correcto despliegue del banner de cookies, la revisión de proveedores, la actualización de textos legales y la apuesta por estrategias basadas en datos propios.

Aplicar estas medidas permite desarrollar un marketing sólido, sostenible y alineado con las exigencias legales actuales.

¿Cómo te ayuda Microlab Hard a adaptar tu marketing al RGPD? 

En Microlab Hard somos especialistas en RGPD, LSSI y derecho digital. Asesoramos a empresas que desean adaptar su marketing digital a la normativa vigente sin renunciar a la eficacia. Revisamos formularios, analizamos cookies, auditamos herramientas, actualizamos textos legales y ayudamos a implantar prácticas respetuosas con la privacidad.

Si necesitas asesoramiento o quieres comprobar si tu estrategia cumple la ley, contacta con nosotros. Estaremos encantados de ayudarte a integrar la protección de datos en tu marketing de forma eficaz y profesional.